Mã độc coinhive là gì?
Coinhive hoạt động bằng cách cung cấp cho các chủ web mã Javascript để nhúng vào trang web. Mã này sau đó sẽ sử dụng một cách bí mật sức mạnh xử lý từ thiết bị của khách truy cập trang web với mục đích chạy các thuật toán khai thác tiền điện tử Monero.
Điều này đưa ra một tình huống đôi bên cùng có lợi giữa Coinhive và chủ trang web, vì Coinhive giữ một phần số tiền đã khai thác, trong khi chủ sở hữu trang web giữ phần còn lại. Thật không may, khách truy cập trang web sẽ không biết rằng bộ xử lý của họ đang được sử dụng trái phép.
Mặc dù Coinhive là một công ty hợp pháp, nhưng phương thức hoạt động thường bị lạm dụng, khiến cho cộng đồng lên án mạnh mẽ.
Chương trình độc hại đào tiền ảo Coinhive vẫn chưa được biết đến nhiều như ransomware, nhưng thực tế nó đang phát triển nhanh chóng và đang gây ảnh hưởng không nhỏ đến cộng đồng người sử dụng internet trên toàn cầu.
Ảnh hưởng của mã độc Coinhive
Hậu quả của mã khai thác tiền ảo này gây giảm hiệu suất hoạt động của thiết bị người truy cập, vì một phần sức mạnh xử lý sẽ được dùng để chạy các thuật toán đào tiền ảo.
Nhưng người dùng sẽ khó phát hiện vì đoạn mã luôn chạy ẩn. Mặc dù một số ít các chủ trang web có hiển thị thông báo đang sử dụng bộ xử lý của khách truy cập, nhưng phần lớn ít người dùng hiểu được ý nghĩa thực sự của dòng thông báo.
Ngoài ra, Coinhive còn bị lạm dụng bởi không ít hacker khi tiến hàng cài đặt mã trái phép vào hệ thống website của các cá nhân, tổ chức, mang lại cơ hội kiếm lợi lớn cho kẻ tấn công.
Tóm lại, Coinhive là một công ty cung cấp phương thức khai thác tiền ảo hợp pháp cho các nhà quản trị website, tuy nhiên, công cụ này đã bị lạm dụng khi không có sự đồng ý từ người duyệt web, nên được liệt vào danh mục mã độc. Coinhive không hoạt động với mục đích đánh cắp dữ liệu hay phá hoại thiết bị mà sử dụng sức mạnh của thiết bị để khai thác tiền ảo, là công cụ trục lợi cho những kẻ tấn công.
Chống lại Coinhive
Bạn có thể ngăn Coinhive sử dụng tài nguyên của mình bằng cách chặn các ứng dụng dựa trên Javascript chạy trên trình duyệt.
Thường xuyên vá và cập nhật phần mềm – đặc biệt là trình duyệt web có thể giảm thiểu tác động, không chỉ của phần mềm độc hại khai thác tiền tiền điện tử như Coinhive hay Ransomware mà còn bao gồm các phần mềm độc hại khác khai thác lỗ hổng trong hệ thống.
Coinhive là dịch vụ phổ biến nhất để thực hiện khai thác tiền mã hóa bất hợp pháp, nhưng nó không phải là dịch vụ duy nhất. Các dịch vụ như Crypto-Loot, CoinImp, Minr và deepMiner vẫn đang hoạt động rất nhiều. Và những đoạn mã này đã được phát hiện trên gần 10.000 trang web vào năm ngoái. Điều này có nghĩa là việc Coinhive đóng cửa không phải là con đường kết thúc cho những tội phạm mạng sử dụng các tập lệnh tấn công tiền điện tử. Trên thực tế, một trong những lựa chọn thay thế này rất có khả năng trở thành phương thức tấn công tiền điện tử phổ biến nhất.
Hơn nữa, vì Coinhive đang đóng cửa vì lý do tài chính, chúng tôi thậm chí có thể thấy nó mở cửa trở lại, một lần nữa chiếm vị trí là công cụ tấn công tiền điện tử phổ biến nhất.
Những dấu hiệu có thể bạn đang bị tấn công bởi Coinhive hoặc mã độc tương tự
- Nhu cầu năng lượng cao: Một trong những dấu hiệu đầu tiên của việc lây nhiễm phần mềm độc hại cryptojacking là mức tiêu thụ điện năng tăng lên đáng kể.
- Sử dụng nhiều CPU hơn bình thường: Cryptojacking nhằm mục đích tận dụng CPU của máy tính bị ảnh hưởng để khai thác tiền điện tử. Vì vậy, sự hiện diện của tập lệnh cryptojacking có thể gây ra hiệu suất thấp trong máy tính.
- Mối nguy hiểm đối với an ninh mạng của công ty: Nếu phần mềm độc hại cryptojacking đã xâm nhập vào mạng CNTT của công ty bạn, điều đó có nghĩa là có một cánh cửa mở ở đâu đó. Và cánh cửa rộng mở này có nghĩa là có một con đường cho tất cả các loại mối đe dọa – những mối đe dọa có thể gây nguy hiểm cho công ty của bạn.
Mặc dù ở thời điểm hiện tại, Coinhive đã đóng cửa hoạt động. Nhưng đồng thời còn rất nhiều các phương thức mã độc khác tương tự đang hoạt động. Vì vậy các chủ website cần chú ý khi cài đặt các chương trình, plugin không rõ nguồn gốc; và người duyệt web nên thường xuyên kiểm tra các thông số về hiệu suất như CPU, dung lượng RAM, … khi có dấu hiệu nghi ngờ.
Cập nhật mới nhất về Coinhive và các loại mã độc tương tự (2021)
Cryptojacking nói chung và Coinhive có thực sự đã chết?
Cryptojacking là việc khai thác tài nguyên máy tính của nạn nhân để khai thác tiền điện tử bằng cách sử dụng các đoạn mã độc hại. Nó đã trở nên phổ biến sau năm 2017 khi những kẻ tấn công bắt đầu khai thác các tập lệnh khai thác hợp pháp, đặc biệt là các tập lệnh Coinhive. Coinhive thực sự là một dịch vụ khai thác hợp pháp cung cấp các tập lệnh và máy chủ cho các hoạt động khai thác trong trình duyệt. Tuy nhiên, hơn 10 triệu người dùng web đã là nạn nhân mỗi tháng trước khi Coinhive đóng cửa vào tháng 3 năm 2019. Chúng tôi nhằm mục đích xem liệu những kẻ tấn công có tiếp tục tấn công tiền điện tử hay không, tạo ra các tập lệnh độc hại mới và phát triển các phương pháp mới. Chúng tôi đã sử dụng một công cụ phát hiện tấn công tiền điện tử có khả năng có tên là CMTracker do Hong et al đề xuất vào năm 2018. Chúng tôi đã tự động kiểm tra 2770 trang web đã được CMTracker phát hiện trước khi Coinhive ngừng hoạt động. Kết quả cho thấy 99% các trang web không còn tiếp tục tấn công tiền điện tử nữa. 1% trang web vẫn chạy 8 tập lệnh khai thác duy nhất. Bằng cách theo dõi các tập lệnh khai thác này, chúng tôi đã phát hiện ra 632 trang web tấn công tiền điện tử. Hơn nữa, các cuộc điều tra mã nguồn mở (OSINT) đã chứng minh rằng những kẻ tấn công vẫn sử dụng các phương pháp tương tự. Do đó, chúng tôi đã liệt kê các mô hình cryptojacking điển hình. Chúng tôi kết luận rằng cryptojacking vẫn chưa chết sau khi Coinhive đóng cửa. Nó vẫn còn sống, nhưng không còn hấp dẫn như xưa.